Lo status giuridico del cittadino nell'era dell'intelligenza artificiale

1. Dallo status civitatis allo status digitale

Nell'impianto costituzionale classico, lo status di cittadino è la porta d'ingresso ai diritti politici e a una serie di garanzie rafforzate, mentre lo status di persona fonda i diritti inviolabili sugli artt. 2 e 3 della Costituzione. Lo statuto della cittadinanza si è poi arricchito in chiave europea, con la cittadinanza dell'Unione e i relativi diritti di circolazione, soggiorno, partecipazione politica e protezione consolare. La Carta dei diritti fondamentali dell'Unione europea (cosiddetta Carta di Nizza), giuridicamente vincolante dal Trattato di Lisbona, ha svolto un ruolo decisivo nel costituzionalizzare questa dimensione sovranazionale quali la dignità (capo I), la libertà (capo II), l'uguaglianza (capo III), la solidarietà, la cittadinanza e la giustizia riorganizzate in un catalogo unitario, che include espressamente la protezione dei dati personali (art. 8) e il diritto a una buona amministrazione (art. 41). In quest'ottica, la persona non è più solo titolare di diritti classici, ma anche di diritti che hanno per oggetto il modo in cui viene rappresentata, trattata e riconosciuta nello spazio digitale. Questi diritti non sostituiscono lo status civitatis, ma lo attraversano e lo condizionano.

La recente sentenza n. 3 del 2025 della Corte costituzionale, in materia di firma digitale e partecipazione politica delle persone con disabilità, è paradigmatica. Nel dichiarare l'illegittimità della preclusione all'uso della firma digitale per la sottoscrizione delle liste elettorali, la Corte richiama gli artt. 2, 3, 48 e 49 Cost. e afferma che non è compatibile con il principio personalista un ordinamento che, per effetto di un proprio divieto priva una persona della possibilità di compiere autonomamente un atto che grazie alle tecnologie sarebbe in grado di compiere. La dignità è compromessa ogni volta in cui è lo stesso ordinamento a trasformare, in forza di un divieto in "inabile e bisognosa di assistenza" una persona che sarebbe invece in grado con propri mezzi di provvedere a quell'attività. In tal senso, il digitale non è più un lusso accessorio, ma condizione di effettività di diritti costituzionali classici, il diritto di concorrere alla formazione dell'offerta elettorale viene reso possibile o negato dalla scelta di ammettere o escludere strumenti tecnologici. È il segno di una transizione ormai compiuta, lo status di cittadino oggi ha inevitabilmente una componente digitale.

2. Algoritmi, profilazione e nascita di uno "status algoritmico"

Dentro questa transizione si colloca l'idea di status algoritmico visibile in molti ambiti, nel lavoro dove sistemi di screening automatizzato dei curriculum selezionano o scartano candidati, nel credito dove modelli di scoring decidono l'accesso al finanziamento, nel welfare dove algoritmi predittivi individuano i beneficiari prioritari di prestazioni sociali, nella sanità dove sistemi di triage assistito suggeriscono percorsi diagnostici e terapeutici.

Se si scende dal piano astratto a quello dei casi concreti, il quadro si fa più netto.

Nell'ambito del recruiting gli algoritmi di preselezione e di valutazione delle performance possono escludere un candidato o condizionare una carriera sulla base di proxy statistici, del percorso di studi, del quartiere di residenza, della storia contributiva e perfino dei pattern di navigazione. E così sul piano giuridico emergono problemi di trasparenza, discriminazione e mancato diritto alla difesa. È qui che obblighi di informazione preventiva, audit indipendenti e diritto effettivo alla revisione da parte di un essere umano come quelli che l'art. 11 della legge 132/2025 e l'art. 22 GDPR iniziano a delineare assumono la funzione di contrappeso minimo allo squilibrio di potere incorporato nei sistemi.

Nel caso della sanità i sistemi di triage assistito, di diagnosi assistita e di allocazione delle risorse promettono maggiore efficienza, ma possono introdurre rischi per il diritto alla salute e per l'autodeterminazione del paziente. Questo può portare a errori di classificazione, bias nei dataset clinici, decisioni automatizzate che condizionano l'accesso a cure prioritarie o a percorsi diagnostici più approfonditi. E quindi sul piano giuridico le problematiche sono legate alla responsabilità professionale, al consenso informato, alla tutela della riservatezza, ma anche all'esigenza che le raccomandazioni algoritmiche siano documentate, tracciabili e sottoponibili a verifica clinica individuale.

In tutti questi casi, l'individuo non è più solo cittadino, lavoratore, paziente o contribuente ma è anche un profilo, un punteggio, un cluster statistico. Lo status algoritmico, in questo senso, è la somma delle etichette che il sistema gli attribuisce: "affidabile" o "a rischio", "meritevole" o "non prioritario", "idoneo" o "non idoneo".

Da un punto di vista costituzionale, il problema nasce quando questa stratificazione di profili finisce per produrre diseguaglianze strutturali, difficilmente visibili e difficilmente sindacabili. Il rischio è quello di costruire, lato sensu, una nuova gerarchia di cittadini, non più solo in base a reddito, istruzione o status giuridico, ma in base alla qualità e quantità di dati che li descrivono, alla trasparenza (o opacità) degli algoritmi che li valutano, alla possibilità effettiva di contestare un esito sfavorevole.

3. Il quadro europeo: Carta, GDPR e AI Act

L'ordinamento europeo ha reagito a queste trasformazioni con un percorso in tre tappe che si parlano tra loro, si tratta della Carta dei diritti fondamentali, del GDPR e dell'AI Act. La Carta dei diritti fondamentali dell'Unione europea offre la cornice assiologica di riferimento sulla dignità umana (art. diritto a una buona amministrazione e a un ricorso effettivo (artt. 41 e 47). Su questo sfondo, nel 2018 entra in vigore il Regolamento (UE) 679/2016 (GDPR), che segna il passaggio dalla privacy come interesse diffuso alla protezione dei dati come diritto soggettivo pienamente azionabile.

L'art. 22 GDPR riconosce il diritto dell'interessato a non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, quando essa produce effetti giuridici o incide in modo analogo significativamente sulla sua persona. L'art. 35 introduce l'obbligo di una valutazione di impatto sulla protezione dei dati (DPIA) nei casi di trattamenti suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, tra cui rientrano in modo paradigmatico molti sistemi di IA ad alto impatto. Su questa base si innesta l'AI Act, Regolamento (UE) 1689/2024, che affronta non più solo i dati ma anche i sistemi di intelligenza artificiale.

L'AI Act è entrato in vigore il 1° agosto 2024, ma la sua applicazione è graduale, i divieti relativi alle pratiche a rischio si applicano da febbraio 2025 e gli obblighi per i sistemi ad alto rischio diventeranno pienamente operativi da agosto 2026; per alcune categorie di sistemi già in uso sono previsti periodi transitori che possono arrivare fino al 2030. Il regolamento ha una vocazione chiaramente extraterritoriale si applica anche a fornitori e utilizzatori stabiliti in Paesi terzi quando i sistemi o i loro output sono impiegati nell'Unione.

4. La risposta italiana: la legge 132/2025 e la centralità della persona

Dopo il passaggio dal piano dei dati (GDPR) a quello dei sistemi (AI Act), il legislatore italiano ha scelto di radicare queste scelte nel tessuto costituzionale nazionale con la legge 23 settembre 2025, n. 132, entrata in vigore il 10 ottobre 2025. La legge non si limita ad attuare l'AI Act, ma ne recepisce i principi alla luce della Costituzione, assumendo come asse portante l'idea di un uso antropocentrico dell'intelligenza artificiale, l'uomo al centro, l'IA come strumento di supporto e non sostitutivo. L'art. 3 enuncia espressamente la centralità della persona e il principio della supervisione umana significativa. Perché non resti una formula generica, la supervisione deve soddisfare almeno tre condizioni, il soggetto che controlla deve possedere competenze adeguate per comprendere almeno a grandi linee il funzionamento e i limiti del sistema (formazione su bias, metriche di performance, rischio di errori); deve poter incidere effettivamente sull'esito della decisione con potere di conferma, correzione o rifiuto dell'output algoritmico; deve assumersi la responsabilità di una motivazione autonoma, che non si limiti a rinviare alla risposta dell'algoritmo, ma la collochi dentro il linguaggio giuridico e i parametri costituzionali di riferimento. Una supervisione puramente formale, esercitata senza tempo, senza strumenti e senza poteri effettivi di intervento non può dirsi conforme allo spirito della legge. Per essere effettiva, la supervisione umana deve essere esercitata da soggetti con competenze certificate, dotati del potere reale di modificare o annullare l'esito algoritmico e obbligati a fornire una motivazione autonoma, registrata nel fascicolo del procedimento. L'art. 4 richiama l'esigenza di un livello sufficiente di alfabetizzazione in materia di IA per chi la progetta, la utilizza e ne subisce gli effetti, tematizzando in chiave normativa una questione altrimenti affidata alla sola deontologia tecnica.

Nell'ambito del lavoro, l'art. 11 prevede che il datore di lavoro o il committente informi il lavoratore sull'uso di sistemi di IA nei processi di selezione, gestione e valutazione. L'IA entra così nel cuore del rapporto di lavoro, ma lo fa accompagnata da obblighi di trasparenza che letti insieme al divieto di decisioni pienamente automatizzate del GDPR, ridisegnano lo status del lavoratore come soggetto che ha diritto non solo a essere valutato, ma anche a sapere come viene valutato. È qui che lo status algoritmico del cittadino-lavoratore mostra in modo plastico la sua incidenza concreta su aspettative, diritti e possibilità di difesa.

Nella pubblica amministrazione, l'art. 14 stabilisce che l'utilizzo dell'IA avviene in funzione strumentale e di supporto all'attività provvedimentale, nel rispetto dell'autonomia e del potere decisionale della persona che resta l'unica responsabile dei provvedimenti. Il principio costituisce un argine normativo concreto contro la tentazione di sostituire il cittadino con il suo profilo, l'algoritmo può aiutare a istruire, ma non può sostituire né l'istruttoria né la motivazione. Il tutto si coordina con gli obblighi di motivazione della legge n. 241/1990 e con il nuovo Codice dei contratti pubblici (d.lgs. 36/2023), che già prevedono requisiti di conoscibilità e comprensibilità dei meccanismi decisionali automatizzati, nonché il divieto di decisione algoritmica esclusiva.

In ambito giudiziario, l'art. 15 disegna un modello di giurisdizione assistita. La norma stabilisce che, nei casi di impiego di sistemi di IA nell'attività giudiziaria, è sempre riservata al magistrato ogni decisione sull'interpretazione e sull'applicazione della legge, sulla valutazione dei fatti e delle prove e sull'adozione dei provvedimenti. La riserva non è derogabile, l'IA può supportare la ricerca giurisprudenziale, la gestione del fascicolo, la redazione di parti standardizzate del provvedimento, ma non può entrare nel nucleo valutativo della funzione giurisdizionale che resta espressione diretta del giudice.

La legge incide anche sul piano penale, l'art. 26 introduce un'aggravante per l'ipotesi in cui il reato sia commesso "mediante l'impiego di sistemi di intelligenza artificiale" e prevede un nuovo illecito per la diffusione di contenuti generati o alterati con sistemi di IA, che si innesta tra l'altro sull'art. 612-quater c.p. dedicato ai deepfake. Si tratta di un riconoscimento normativo esplicito del potere lesivo degli algoritmi e dei contenuti sintetici sul piano dei diritti fondamentali, dalla reputazione alla libertà di autodeterminazione, fino alla correttezza del dibattito pubblico.

Sul terreno del diritto d'autore, l'art. 25 della legge 132/2025 modifica la legge n. 633/1941 precisando che la protezione riguarda le opere dell'ingegno umano, anche quando create con l'ausilio di strumenti di intelligenza artificiale, purché costituiscano il risultato del lavoro intellettuale dell'autore. Ancora una volta, il legislatore ribadisce che la macchina resta strumento e non autore.

Sul piano dell'enforcement, la legge valorizza il ruolo di autorità già esistenti, il Garante per la protezione dei dati personali per i profili di trattamento dei dati e trasparenza, l'Agenzia per l'Italia digitale e l'Agenzia per la cybersicurezza nazionale per la definizione di standard tecnici e di sicurezza, le autorità settoriali (sanità, mercato, comunicazioni) per i controlli specifici. Accanto alle sanzioni amministrative e penali, resta aperto il tema di una responsabilità civile "da danno algoritmico" che, pur non essendo ancora tipizzata come categoria autonoma, inizia a profilarsi nelle azioni risarcitorie fondate su decisioni automatizzate illecite o discriminatorie.

È necessario un coordinamento operativo tra Garante, agenzie tecniche e autorità settoriali e l'introduzione di una presunzione di responsabilità del titolare o del fornitore in caso di mancata DPIA, mancata validazione o assenza di supervisione effettiva.

5. Diritti politici, disabilità e status digitale: la lezione della sentenza n. 3/2025

La sentenza n. 3 del 2025 illumina con particolare chiarezza il nesso tra status personale, tecnologie e diritti politici. La Corte era chiamata a giudicare la legittimità del divieto di utilizzare la firma digitale per sottoscrivere le liste dei candidati alle elezioni regionali, nel caso di un elettore affetto da grave disabilità motoria che lo impediva di apporre la firma autografa. La normativa impugnata lo costringeva a ricorrere a una procedura verbale aggravata, davanti a un pubblico ufficiale e due testimoni, con un evidente sacrificio di autonomia, riservatezza e parità di trattamento. La Corte, dopo avere richiamato gli artt. 2, 3, 48 e 49 Cost., sottolinea come oggi grazie allo sviluppo tecnologico, il soggetto "ben potrebbe autonomamente apporre la sottoscrizione necessaria alla presentazione delle candidature", se non incontrasse la preclusione derivante dall'art. 2, comma 6, del Codice dell'amministrazione digitale. Tale preclusione osserva la Corte contrasta con il principio personalista, che impone di evitare che sia lo stesso ordinamento a trasformare in "inabile e bisognosa di assistenza" una persona che con l'ausilio degli strumenti digitali potrebbe compiere autonomamente l'attività richiesta.

La pronuncia ha un valore che va oltre il caso concreto. Da un lato, ribadisce che la partecipazione politica non può essere compressa da ostacoli tecnologici evitabili, se il digitale consente di rimuovere una disuguaglianza, vietarne l'uso significa introdurre una discriminazione nuova, non giustificata. Dall'altro, offre una chiave per leggere criticamente lo status algoritmico non è accettabile un ordinamento che, attraverso scelte regolatorie o progettuali, trasformi in "inabile" un cittadino che, grazie alla tecnologia potrebbe esercitare più pienamente i suoi diritti.

L'IA diventa così un banco di prova della eguaglianza sostanziale di cui all'art. 3, secondo comma, Cost. e può essere utilizzata per rimuovere ostacoli ose male governata per crearne di nuovi.

6. Affidamento, nuove diseguaglianze digitali e controllo giurisdizionale

Una seconda linea giurisprudenziale rilevante è quella sul principio di affidamento del cittadino nella stabilità ragionevole dell'ordinamento. La sentenza n. 89 del 2018 pur riferita a un contesto diverso, ha ribadito che la tutela dell'affidamento trova copertura costituzionale nell'art. 3 Cost., ma non impedisce al legislatore di modificare in senso sfavorevole la disciplina di rapporti in corso, anche quando si tratti di diritti soggettivi perfetti. Tuttavia, tali interventi non possono "trasmodare in un regolamento irrazionale e arbitrariamente incidere sulle situazioni sostanziali poste in essere da leggi precedenti, frustrando così anche l'affidamento del cittadino". Questo principio impone di chiedersi fino a che punto sia legittimo che le regole algoritmiche che determinano l'accesso a un beneficio, a un servizio o a un'opportunità mutino in modo improvviso, opaco, difficilmente prevedibile.

Quando l'amministrazione o un grande attore privato in posizione quasi regolatoria si auto-vincola a determinati criteri di valutazione anche attraverso algoritmi è tenuta ad applicarli in modo coerente, a motivare in modo intelligibile gli scostamenti, a evitare che elementi residuali o non dichiarati compensino carenze rispetto ai parametri principali. In questo quadro, la spiegabilità non è solo un requisito tecnico, ma una condizione per l'esercizio dei diritti di difesa, poter sapere quali fattori hanno inciso maggiormente sull'esito, poter simulare scenari alternativi, poter ottenere una motivazione che traduca l'output del modello in un ragionamento giuridico, sono tutti elementi che trasformano la scatola nera in una decisione sindacabile.

Da qui l'importanza che la legge 132/2025 e l'AI Act attribuiscono alla trasparenza, alla tracciabilità delle decisioni, alla documentazione delle logiche algoritmiche per quanto ragionevolmente possibile e alla possibilità di chiedere una revisione umana delle decisioni automatizzate. Ben utilizzati, questi strumenti possono dare contenuto concreto al diritto del cittadino a un controllo giurisdizionale effettivo anche nello spazio digitale.

7. Uno sguardo comparato: Francia, Germania, Regno Unito

Il quadro italiano non si colloca nel vuoto, ma si inserisce in una riflessione più ampia. Uno sguardo, pur rapido, ad alcuni ordinamenti vicini consente di cogliere affinità e differenze. In Francia, l'AI Act e il GDPR sono affiancati da un intenso lavoro di regolazione pratica affidato alla CNIL, che ha elaborato linee guida su IA e protezione dei dati, raccomandazioni sulla qualità delle annotazioni e sui requisiti di sicurezza lungo il ciclo di vita dei sistemi, nonché schede settoriali dedicate a sanità, scuola, lavoro. L'obiettivo è tradurre principi generali in obblighi operativi concreti mediante registri pubblici dei sistemi, test di impatto indipendenti e verifiche ex ante.

In Germania, l'attuazione dell'AI Act si innesta su una struttura federale complessa. Sono in preparazione leggi di esecuzione per la cosiddetta KI-Verordnung, con l'individuazione di autorità nazionali di governance e sorveglianza del mercato e un ruolo di coordinamento affidato a strutture come la Bundesnetzagentur. Il dibattito tedesco pone una forte attenzione alla tutela del lavoro e alla partecipazione dei sindacati, alla luce del principio costituzionale di dignità umana, collegando diritti dei lavoratori e limiti all'automatizzazione nei processi HR e valorizzando strumenti di protezione collettiva anche rispetto alle decisioni algoritmiche.

Il Regno Unito, fuori dall'Unione ma strettamente intrecciato ai suoi mercati, ha scelto un modello dichiaratamente pro-innovation, fondato più su principi che su un quadro codificato unitario. Il governo ha individuato alcune direttrici regolatorie come sicurezza, trasparenza, equità, responsabilità, contestabilità rimettendo a regolatori settoriali il compito di declinarle nei rispettivi ambiti. In questo contesto, l'Information Commissioner's Office (ICO) ha assunto un ruolo centrale, pubblicando linee guida su AI e protezione dei dati e promuovendo un approccio che combina pragmatismo regolatorio, incentivi all'audit volontario e uso mirato dei poteri sanzionatori. La responsabilità civile, più che l'intervento normativo dettagliato, diventa spesso la leva attraverso cui orientare comportamenti e pretese di conformità.

Questi modelli non sono sovrapponibili, ma offrono spunti utili anche per l'ordinamento italiano. L'esperienza francese mostra l'importanza di affiancare alla legge linee guida operative e test indipendenti; quella tedesca ricorda che la governance dell'IA non può prescindere da tutele collettive e partecipazione dei lavoratori; il modello britannico suggerisce che un impianto basato su principi chiari e responsabilità civile può favorire l'innovazione, a condizione che non si traduca in deregolazione.

Per l'Italia, che con la legge 132/2025 ha scelto una via di forte integrazione con l'AI Act e di richiamo esplicito ai valori costituzionali, la sfida sarà saper combinare i tre piani, sviluppare strumenti applicativi sul modello francese, rafforzare il dialogo con le parti sociali sul modello tedesco, mantenere un quadro di principi leggibile e orientato alla responsabilità che non scoraggi ma indirizzi l'innovazione.

8. Conclusione: governare lo status algoritmico senza perdere lo status di persona

L'idea di status algoritmico nasce dall'osservazione che, nell'era dell'IA la posizione giuridica dell'individuo è sempre più condizionata da ciò che i sistemi automatici dicono di lui. È una categoria descrittiva, utile per mettere a fuoco nuove forme di diseguaglianza e nuove esigenze di tutela, ma non può né deve sostituire la soggettività costituzionale del cittadino e della persona.

La Carta dei diritti fondamentali dell'Unione europea, il GDPR, l'AI Act e la legge 132/2025 tentano di costruire un argine normativo a questo rischio: imporre limiti, procedure, controlli che preservino la centralità della persona e impediscano derive di social scoring, discriminazione strutturale, opacità decisionale. Le recenti pronunce della Corte costituzionale e gli orientamenti del giudice amministrativo in tema di motivazione e discrezionalità tecnica mostrano che questo argine può essere reso effettivo anche sul terreno del controllo giurisdizionale.

La sfida, nei prossimi anni, sarà evitare che i diritti fondamentali vengano ridotti a un elenco di adempimenti di compliance, l'intelligenza artificiale dovrà essere progettata e utilizzata in modo da ampliare e non restringere gli spazi di libertà, eguaglianza e partecipazione, ricordando che la persona, non il profilo algoritmico, deve restare il centro del diritto costituzionale anche nell'era dell'intelligenza artificiale.

Dott.ssa Svetlana Bounegru è dottore di ricerca in "State Theory and Comparative Political Institutions" presso la Facoltà di Scienze politiche dell'Università "La Sapienza" di Roma. È ricercatore in Giurisprudenza presso il Dipartimento di Diritto pubblico dell'Università di Stato della Moldavia ed è consulente tecnico d'ufficio del Tribunale ordinario di Roma. È autrice, tra l'altro, delle monografie Lo status giuridico del cittadino italiano ed europeo e Diritto alla vita versus diritto all'aborto, edite da Pacini Giuridica.